系统安全管理制度
- 格式:doc
- 大小:19.00 KB
- 文档页数:6
第 1 页 共 6 页 系统安全管理制度
系统安全管理制度中国科学院沈阳应用生态研究所
前言
本制度旨在加强中国科学院沈阳应用生态研究所(以下简称沈阳生态所)信息系统安全管理工作。
本制度由信息中心提出。
本制度由信息中心归口。
本制度起草部门:信息中心
本制度主要起草人:岳倩
本制度起草日期:20__/01/19
系统安全管理制度
1范围
本制度规定了沈阳生态所信息系统安全管理权限分配、授权和审批、备份和检查等的要求。
本制度适用于沈阳生态所开展信息系统安全管理工作。
2术语和定义
信息系统:指包括操作系统、应用系统和数据库管理系统。
3职责
3.1系统管理员
1)负责应用系统的安装、维护和系统及数据备份;
2)根据应用系统的安全策略,负责应用系统的用户权限设置以及系统安全
配置;
3)根据应用系统运行的实际情况,制定应急处理预案,提交信息管理部门
审定。
3.2安全管理员
1)负责对应用系统的安装、维护和系统及数据备份的监督检查和登记工作; 第 2 页 共 6 页 2)定期检查应用系统的用户权限设置以及系统安全配置,与应用系统安全
策略的符合性;
3)定期审查应用系统的审计记录,发现安全问题及时报告信息管理部门。4安全策略
旨在加强信息系统的运行管理,提高系统的安全性、可靠性,依照完善的管理制度,科学的管理方法来完成信息系统安全管理权限分配、授权和审批、备份和检查等的要求。
5信息系统管理
5.1操作系统
1)操作系统管理员账户的授权、审批
●操作系统管理员和操作系统安全员账户的授权由所在部门填写
《操作系统账户授权审批表》,经部门领导批准后设置;
●操作系统管理员和操作系统安全员人员变更后,必须及时更改账
户设置。
2)其他账户的授权、审批
●其他账户的授权由使用人填写《操作系统账户授权审批表》,经
信息管理部门领导批准后,由操作系统管理员进行设置;
●操作系统管理员和操作系统安全员根据业务需求和系统安全分
析制订系统的访问控制策略,控制分配信息系统、文件及服务的访问权限;
●外单位人员需要使用审计管理系统时, 须经信息管理部门领导
同意, 填写《外单位人员操作系统账户授权审批表》,报信息管理部门领导批准后, 由操作系统管理员按规定的权限、时限设置专门的用户账户;
●严禁任何人将自己的用户账户提供给外单位人员使用。
3)口令的复杂性、安全性要求和检查
●系统账户的口令长度设置至少为8位,口令必须从小写字符
(a-zA-Z)、大写字符(A-Z)、数字(0-9)、符号(~!@#$^&__)中至少选择两种进行组合设置;
●系统账户的口令须定期更改,每次更新的口令不得与旧的口令相 第 3 页 共 6 页 同,操作系统应设置相应的口令规则;
●系统用户的账号、口令、权限等禁止告知其他人员;
●须根据系统的安全要求对操作系统密码策略进行设置和调整,以
确保口令符合要求。
4)系统维护和应急处理记录
●应对系统安装、设置更改、账号变更、备份等系统维护工作进行
记录,以备查阅;
●应对系统异常和系统故障的时间、现象、应急处理方法及结果作
详细的记录。
5)操作系统的系统管理员账户名称、口令的管理
●操作系统账户应按照《操作系统账户授权审批表》批准的账户名
称、权限和有效期予以设置;必须关闭不必使用的账号;
●操作系统管理员账户的口令除了满足口令要求外,还必须每季度
更改一次,发现有异常情况时应立即更改,每次更新的口令不得
与旧的口令相同;
●严禁把操作系统管理员的账户名称和口令告知其他人员。
6)操作系统配置的备份管理
●操作系统管理员应对操作系统的配置参数及相关文件进行备份,
当配置发生变更时必须重新备份,以便系统发生故障时能尽快恢
复系统配置。
7)操作系统的安全检查
●操作系统管理员应经常检查操作系统的安全配置,并确保符合安
全配置要求;
●系统管理员、网络管理员和审计员应定期查看操作系统的运行日
志和审计日志,以及时发现出现的安全问题(包含并不限于对运
行日志和审计数据进行分析^p ,保存分析^p 报告,详细描述账户的连
续多次登录失败、非工作时间的登录、访问受限系统或文件的失 第 4 页 共 6 页 败尝试、系统错误等非正常事件);
●系统管理员应定期使用最新的安全检查或安全分析^p 工具对系统
进行检查,并及时消除存在的漏洞;
●系统管理员实施漏洞扫描或漏洞修补前,应对可能的风险进行评
估和充分准备,如选择恰当时间,并做好数据备份和回退方案,
漏洞扫描或漏洞修补后应进行验证测试,以保证系统的正常运
行,应保存系统漏洞扫描报告,详细描述系统存在的漏洞、严
重级别和结果处理等方面内容,方可实施系统补丁程序的安装。
5.2应用系统
1)应用系统管理员、安全员账户的授权、审批
●用于业务应用的账户的授权由使用计算机应用系统相关人员负
责填写《应用系统账户授权审批表》,经业务管理部门及信息系
统运行管理部门负责人批准后,由应用系统管理员进行设置;
●外单位人员需要使用沈阳生态所信息系统时,须经相关业务管理
部门主管同意,填写《外单位人员应用系统账户授权审批表》,报信息系统运行管理部门负责人批准后,应用系统管理员按规定
的权限、时限设置专门的用户账号;
●严禁沈阳生态所工作人员将自己的用户账号提供给外单位人员
使用。
2)口令的复杂性、安全性要求和检查
●应用系统管理员账户的口令长度设置至少为8位,口令必须从字
符(a-z,A-Z)、数字(0-9)、符号(~!@#$^&__)中至少选
择两种进行组合设置;
●应用系统管理员账户的口令必须经常更改,至少每半年更改一
次,每次更新的口令不得与旧的口令相同,操作系统应设置相应
的口令规则;
●应用系统管理员用户的账号、口令、权限等禁止告知其他人员;
●用于业务应用的账户的口令长度设置至少为6位,其他要求参照 第 5 页 共 6 页 应用系统管理员账户的口令要求执行。
3)应用系统维护和应急处理记录
●应设置《应用系统维护和应急处理记录》,系统管理员记录系统
的运行情况;
●应对系统异常、系统故障的日期、现象、处理方法及结果等应急
处理进行记录;
●应对应用系统的安装、设置更改、账号变更、组变更、备份等系
统维护工作进行记录,以备查阅;
●应对应用系统异常和系统故障的时间、现象、应急处理方法及结
果作详细的记录。
4)应用系统配置的备份的管理
●系统管理员应对系统的配置参数及相关文件进行备份;
●当配置发生变更时必须重新备份,以便系统故障时能尽快恢复系
统配置。
5)应用系统数据的备份的管理
●备份权限,备份介质都必须加以妥善保管,防止非法访问;
●制定备份策略,以高效备份与恢复为目标,与操作系统备份结合,
物理备份与导出相结合。
5.3数据库系统运行管理
1)数据库管理员账户的授权,审批
●数据库管理员和数据库安全员账户的授权由系统运行维护单位
填写《数据库系统账户授权审批表》,经信息管理部门领导批准
后设置;
●数据库管理员和数据库安全员人员变更后,必须及时更改账户设
置。
2)其他账户的授权,审批
●其他数据库账户的授权由使用单位填写《数据库系统账户授权审
批表》,经信息管理部门领导批准后,由数据库管理员进行设置; 第 6 页 共 6 页 ●外单位人员需要使用×××数据库系统时, 须经部门主管同意,
填写《外单位人员数据库系统账户授权审批表》,报信息管理部
门领导批准后, 由数据库管理员按规定的权限、时限设置专门的
用户账号;
●《外单位人员数据库系统账户授权审批表》应包括使用者姓名、
身份证号、工作单位、接待部门、数据库系统名称和版本、主机
型号、主机号、账户名称、账户类别、授予权限、账号和权限授
予期限等;
●严禁沈阳生态所任何人将自己的用户账号提供给外单位人员使
用。
3)口令的复杂性、安全性要求和检查